Alle blogindlæg

GDPR og cookies | Hvad skal jeg vide?

Persondataforordningen (GDPR) og ePrivacy Direktivet (ePR) påvirker hvordan din hjemmeside må bruge cookies til at spore dine besøgende fra EU.

Opdateret 9. marts 2020.
Google Consent Mode

Databeskyttelsesforordningen (GDPR) regulerer al behandling af persondata i Europa.

Hvilken indflydelse har GDPR på din hjemmesides brug af cookies og tracking? Hvordan opfylder du lovkravene? Og hvad betyder GDPR for din cookiepolitik og dine cookiesamtykker?

Denne artikel giver en introduktion til GDPR og en praktisk vejledning i, hvad de nye regler betyder for dig og dit website.

GDPR og cookies: prøv Cookiebot gratis i dag.

GDPR og sandhederne om tracking

En undersøgelse af hjemmesidesporing fra 2020 understreger de alarmerende fakta, som de fleste hjemmesideejere ikke er klar over –

99% af cookies bruges til at tracke brugere eller til at tilbyde målrettet annoncering

72% af cookies bliver sat af fjerde parter, der hemmeligt loades af tredjepartscookies – også kendt som trojanske heste.

18% af cookies stammer fra femte, sjette, syvende eller ottende parter – dvs. dybere trojanske heste.

50% af de trojanske heste, der hemmeligt loades af tredjeparts cookies, vil forandre sig mellem besøg.

Den alarmerende sandhed er, at de fleste hjemmesideejere ikke er klar over i hvilken voldsom grad deres domæner bliver brugt af ukendte virksomheder til ulovligt at høste privat persondata, ofte fra steder udenfor beskyttede regioner som Europa.

Undersøgelsen blev lavet af forskere fra Ruhr Universitet og Institute for Internet Security. De målte 10.000 hjemmesider for skjult tracking og de ovenstående resultater gør det klart i hvor høj grad, der er behov for privatlivsbeskyttelse på internettet i dag.

Din hjemmeside har brug for omfattende og grundig cookie-teknologi for at sikrer fuld compliance med Databeskyttelsesforordningen (GDPR) og ePR (ePrivacy Direktivet).

Uden en samtykkeløsning på din hjemmeside er dine chancer for at beskytte dine slutbrugeres privatliv meget små, næsten nul.

Studiet, konkluderer undersøgelsens forskere, ”understreger det store behov for privatlivsbeskyttende mekanismer der kan begrænse cookie-baseret tracking.”

Læs den fulde undersøgelse Beyond the Front Page her (PDF)

Prøv Cookiebot gratis i dag.

GDPR og cookies

Cookies blev opfundet i 1994 for at give internettet en hukommelse. Disse små tekstfiler har til formål at give hjemmesider evnen til at tilbagekalde information og huske brugere.

Verden har ikke været den samme siden.

I dag lever vi i hyper-cookie tider.

Hjemmesider er ofte værter for hundredevis af tredjeparts cookies, der baner vejen for massiv indsamling af persondata og efterfølgende kombination med henblik på at skabe såkaldte ”psykografer” om hvert individ, som kan bruges til at målrette adfærdsreguleret reklame.

Som de store privacy-skandaler har vist os, kan disse også våbenliggøres for at forstyrre demokratiske valg i Amerika og Storbritannien.

Engang var cookies internettets evne til at huske. I dag er det blevet dets evne til at forudsige.

Med Databeskyttelsesforordningen (GDPR) har Europa tagen udfordringen op imod disse privatlivskrænkende metoder og tegnet et kort over fremtidens balancerede og respektfulde behandling af persondata på vores digitale veje.

GDPR om cookies og trackere

GDPR er et sæt af EU-regler, der udgør det vigtigste initiativ om databeskyttelse i 20 år.

Formålet er at beskytte “fysiske personer i forbindelse med behandling af personoplysninger og […] fri udveksling af sådanne oplysninger”, f.eks. brugeren af hjemmesiden.

Cookies omtales én gang i det 88 sider lange regelsæt. Disse få linjer har dog en betydelig indflydelse på, hvordan cookies fremover skal behandles: 

(30): “Fysiske personer kan tilknyttes onlineidentifikatorer […] såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer […]. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.

Med andre ord: når cookies kan bruges til at identificere en konkret person, anses de for at være personoplysninger.

Hvad er egentlig cookies?

Cookies er små filer som automatisk anbringes på din computer, mens du browser på nettet. I og for sig er de harmløse stykker tekst som gemmes lokalt og nemt kan ses og fjernes.

Men cookies kan afgive mange oplysninger om dine aktiviteter og præferencer, og de kan bruges til at identificere dig uden dit udtrykkelige samtykke. De operer “i kulissen” og sporer dig uden dit udtrykkelige samtykke. 

Fra et retligt synspunkt er dette en væsentlig overtrædelse af privatlivet, og da datateknologierne kun bliver mere og mere sofistikeret, forringes brugernes privatliv i stadig højere grad. 

Ofte stammer Cookierne ikke engang fra det website, du besøger, men fra tredjeparter der sporer dig til markedsføringsformål. 

Selvom det ikke er alle cookies, der anvendes på en måde, der kan bruges til at identificere brugere, gælder det for de fleste (og for dem, der har mest værdi for ejere af hjemmesider,) og de er derfor omfattet af GDPR.

Cookies til brug for analyser, reklamer og funktionelle tjenester, så som undersøgelses- og chatværktøjer, er allesammen eksempler på cookies der kan identificere brugere.

Problemet med cookies er både et spørgsmål om beskyttelse af privatlivet: Hvad er det der bliver registreret? – Og om gennemskuelighed – hvem sporer dig, til hvilke formål, hvor går oplysningerne hen, og hvor længe varer cookien?

Acceptér venligst marketing cookies for at se videoen

Acceptér cookies

Krav: Hvordan sikrer du, at dit website opfylder GDPR?

Som ejer af et website gør du det ved at træffe foranstaltninger, så de personlige oplysninger behandles svarende til de nye regler.

Personoplysninger er eksempelvis et navn, et foto, en e-mailadresse, bankoplysninger, opslag på sociale netværkssider, medicinske oplysninger eller en IP-adresse.

Hvis din hjemmeside eller din virksomhed behandler oplysninger som (a) er direkte personlige eller (b) kan kombineres eller specificeres så de kan henføres til et individ, skal procedurerne opdateres, så kravene respekteres.

Kortlæg og evaluer de følsomme oplysninger i din virksomhed, gennemgå din sikkerhedspolitik og sørg for, at oplysningerne er sikrede.

De to vigtigste aspekter du skal være opmærksom på er:

– hvordan kunde- og brugeroplysninger opbevares i din virksomhed, og

– cookierne på dit website (både førsteparts og tredjeparts).

Tilpasningen af din cookiepolitik og dine cookiesamtykker er en væsentlig del af denne proces.

Hvad bør et cookiesamtykke indeholde for at opfylde reglerne?

Et af de mest konkrete krav i GDPR er definitionen af, hvad der udgør et korrekt cookiesamtykke, dvs. at samtykket skal være:

  • Informeret. Hvorfor, hvordan og hvor anvendes personoplysningerne? Det skal være klart for brugeren, hvad han/hun samtykker i, og det skal være muligt at til- og fravælge de forskellige typer af cookies.
  • Baseret på et ægte valg: Det betyder f.eks. at brugeren skal have adgang til hjemmesiden og dens funktioner, selv om alle andre end de absolut nødvendige cookies er blevet afvist.
  • Givet i form af en bekræftende, positiv handling som ikke kan fejlfortolkes.
  • Givet forud for behandlingen af personoplysningerne.
  • Muligt at tilbagekalde. Det skal være nemt for brugeren at skifte mening og tilbagekalde samtykket.

Endvidere

  • Har brugeren ret til at blive glemt. På brugerens anmodning skal alle hans/hendes personoplysninger slettes på en korrekt måde.
  • Alle givne samtykker skal gemmes som dokumentation.

Hvad er en cookiemeddelelse der opfylder kravene?

Ovenstående krav gør de fleste cookiemeddelelser som blev anvendt før GDPR blev indført ugyldige. F.eks. er implicit samtykke og samtykke givet alene ved at besøge et websted ikke tilstrækkelige.

Det samme gælder for pop-ups og bannere hvor der står “Ved at bruge denne  hjemmeside accepterer du cookies”.

En simpel OK-knap er heller ikke tilstrækkelig.

F.eks. er nedenstående ikke en compliant cookiemeddelelse:

Et ulovligt cookie banner i EU.

Cookiebots samtykkebanner opfylder GDPR/ePR kravene:

Logo banner powered by Cookiebot by Usercentrics
GDPR/ePR compliant samtykkebanner fra Cookiebot.

Hvilken indflydelse har GDPR på min cookiepolitik?

Persondataforodningen betyder, at du skal tilpasse din cookiepolitik og sikre, at den opfylder kravene.

EU’s forordning om e-databeskyttelse (ePrivacy) kræver forudgående, informeret samtykke af brugeren af dit website, mens den Generelle forordning om databeskyttelse (GDPR) kræver, at du dokumenterer hvert samtykke.

Samtidig skal du være i stand til at gøre rede for, hvilke brugeroplysninger du deler med integrerede tredjeparts-tjenester på dit websted, og hvor i verden disse oplysninger bliver sendt hen.

En cookiepolitik i overensstemmelse med GDPR- og e-databeskyttelse skal overholde følgende krav:

Gennemskuelig cookiepolitik

Cookiepolitikken skal være i overensstemmelse med kravene og bør give brugeren et klart billede af cookiernes anvendelse på hjemmesiden til enhver tid.

Oversigt og ansvarlighed for cookierne på din hjemmeside

Du kan blive udsat for kontroller og skal være i stand til at redegøre for alle dataprocesserne i forbindelse med din hjemmeside.

Dette er lettere sagt end gjort, fordi de fleste hjemmesider har et stort antal tredjeparts-cookies i omløb i deres system.

Samtykke i form af en bekræftende handling

Den største ændring med hensyn til cookies og online-sporing er, at samtykket skal gives i form af en klart bekræftende handling.

EU-borgere har vænnet sig til – selv om de muligvis er lettere trætte af det – bannere på alle hjemmesider, som advarer om brugen af cookies og som i nogle tilfælde beder om at klikke OK, uden dog at præsentere brugeren for et reelt alternativ, ud over at forlade siden. 

Med de nye regler er dette ikke længere godt nok. Samtykket skal gives i form af en bekræftende, positiv handling, og der skal være en reel mulighed for at afvise cookies og stadig gøre brug af hjemmesiden.

Mulighed for at tilbagekalde samtykket til enhver tid

Brugeren skal have mulighed for at tilbagekalde sit samtykke.

Det er derfor vigtigt at sikre, at brugere altid har adgang til deres aktuelle samtykketilstand og kan ændre indstillingerne eller tilbagekalde deres samtykke helt eller delvis. 

Fornyelse af samtykket

Hver 12. måned bør samtykket fornys ved brugerens første besøg på hjemmesiden.

Brugervenlig og klar dialog

Det er en udfordring stillet af GDPR, at brugere på den ene side skal have en udtømmende beskrivelse af, hvordan deres oplysninger bliver anvendt.

På den anden side skal kommunikationen være klar og nem at forstå, så brugeren ikke drukner i teknik- og juralingo, men har et ægte valg.

Forudgående samtykke

 Brugerens samtykke skal gives forud for at cookierne placeres. Kun de absolut nødvendige cookies må installeres inden samtykket er blevet givet. 

Alle samtykker skal opbevares som bevis

Alle samtykker skal gemmes på en sikker måde, så de kan bruges som bevis i tilfælde af kontrol.

Den enkle måde at gøre dine cookies og online-sporing GDPR-compliant

For at opfylde kravene kan du enten udvikle din egen samtykke-opsætning baseret på GDPR. Eller du kan abonnere på Cookiebot, en løsning for cookies og online-sporing som fuldstændigt opfylder kravene i GDPR.

Cookiebot integrerer cookiepolitikken med overvågningen af cookie-aktiviteterne på dit website, og sikrer derved at politikken altid er opdateret og korrekt.

En gang om måneden genereres en rapport over cookieaktiviteten og databehandlingen i forbindelse med dit website, så du altid har fuld kontrol. 

Brugersamtykket indhentes ved hjælp af et forståeligt og brugervenligt banner, hvor man nemt kan til- og fravælge de forskellige typer af cookies.

Dine brugere kan altid tilgå samtykke-indstillingerne og administrere eller tilbagekalde samtykket.

Hver 12. måned fornys samtykket automatisk ved brugerens første nye besøg på websitet.

Kommunikationen i samtykke-banneret er brugervenligt og klart, med fokus på ægte transparens, uden overload af informationer. 

Brugersamtykket indhentes forud for placeringen af cookies, undtaget de absolut nødvendige og derfor også lovlige.

Alle samtykker indsamles automatisk via en sikker forbindelse og gemmes i form af stærkt krypterede data.

Ressourcer

GDPR
Hvad EU’s Generelle forordning om databeskyttelse betyder for websteders opfyldelse af reglerne
Hvordan får du dit websted til at opfylde GDPR-reglerne og hvad er den Generelle forordning om databeskyttelse
Opfyldelse af GDPR-regler i 6 trin” i Information Age Digital Edition
Et informativt blogindlæg om opfyldelse af GDPR-kravene
Hvilken indflydelse har GDPR på cookiepolitikken?
GDPR: Hvornår skal du anmode om samtykke

    Hold dig informeret

    Bliv en del af vores voksende community af databesky­ttelses­entusiaster nu. Tilmeld dig Cookiebot™-nyhedsbrevet for at få alle de seneste opdateringer direkte i din indbakke.

    Ved at klikke på "Abonner" bekræfter jeg, at jeg ønsker at abonnere på Cookiebot™-nyhedsbrevet. Jeg kan nemt opsige mit abonnement på Cookiebot™-nyhedsbrevet og tilbagekalde mit samtykke til at bruge mine data ved at klikke på afmeldingslinket. Alternativt kan jeg skrive til [email protected] for at fremsætte anmodningen. Privatlivspolitik.

    Gør din brug af cookies og online tracking compliant

    PRØV GRATIS NU